Если вы не видите здесь изображений, то используйте VPN.

четверг, 6 июля 2017 г.

Fenrir

Fenrir Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Fenrir. На файле проекта написано: AES_RANSOMWARE. На exe-файле написано: Adobe Reader.exe. Фальш-имя: ADOBE ACROBAT READER. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется непростое расширение.

Примеры: 
.a12b34cd5e
.1BC23D4EF5

Это последовательность из первых 10 шестнадцатеричных цифр, взятых из MD5-хэша функции HWID. 

Шаблон можно записать как:
.<10_hex_chars>
.<10_hex_sign> 

Я специально пропускаю подробности генерации добавляемого расширения, потому что пострадавшим не нужны глубокие технические подробности, им нужен результат и файлы. А тем службам, которым это надо, всё равно будут проводить собственный анализ для отчёта и передачи информации выше. 

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.rtf
Содержание записки о выкупе:
(Q) HOW TO RESCOVER MY FILES?
(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID afterthe payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.
MY BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo
MY EMAIL whiterabbit01@mailinator.com
YOUR PERSONAL ID: IN THE WINDOW TITLE 
(Q) WHAT IS IT?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) WHAT IS BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) WHERE TO BUY BITCOIN?
(A) https://localbitcoins.com/

Перевод на русский язык:
(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.
МОЙ BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo
МОЙ EMAIL whiterabbit01@mailinator.com
ВАШ ЛИЧНЫЙ ID: в названии окна
(Q) ЧТО ЭТО ТАКОЕ?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) ЧТО ТАКОЕ BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) ГДЕ КУПИТЬ BITCOIN?
(A) https://localbitcoins.com/

Запиской с требованием выкупа также выступают экран блокировки и изображение, загружаемого с хостинга изображений pixs.ru:
Содержание текста с экрана блокировки:
ALL YOUR FILES HAVE BEEN LOCKED
(Q) HOW TO RESCOVER MY FILES?
(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID after the payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.
MY BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
MY EMAIL: whiterabbit01@mailinator.com
YOUR PERSONAL ID: IN THE WINDOW TITLE
(Q) WHAT IS IT?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) WHAT IS BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) WHERE TO BUY BITCOIN?
(A) https://localbitcoins.com/

Перевод текста на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ
(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.
МОЙ BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
МОЙ EMAIL: whiterabbit01@mailinator.com
ВАШ ЛИЧНЫЙ ID: В ЗАГОЛОВКЕ ОКНА
(Q) ЧТО ЭТО ТАКОЕ?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) ЧТО ТАКОЕ BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) ГДЕ КУПИТЬ BITCOIN?
(A) https://localbitcoins.com/

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (фальшивый Adobe Reader.exe), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Adobe Reader.exe
ransom.rtf
ransompng_6304118_26774912.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
Email: whiterabbit01@mailinator.com
xxxxs://fenrir-ransomware.000webhostapp.com/log.php
xxxx://i12.pixs.ru/storage/9/1/2/ransompng_6304118_26774912.png
xxxx://000webhostapp.com
xxxx://gateway00.000webhostapp.com/
xxxx://000300.000webhostapp.com/
xxxx://00004563.000webhostapp.com/
xxxx://a00843873434.000webhostapp.com/
xxxx://owa2378office365migration159.000webhostapp.com/
xxxx://ithelpdeskportal.000webhostapp.com/
xxxx://wwwww123web.000webhostapp.com/
145.14.145.40:443 - Нидерланды
145.14.145.80:443 - Нидерланды
145.14.145.232:443 - Нидерланды
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *